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Priifungsantrag gem. § 44 PatG ist gestellt 

@ Sicherheitsgerichtete speichergrogrammierbare Steuerung 

Mit der Erfindung wird vorgeschlagen, eine Standard-SPS 
(1) durch Erganzungen zu einer sicherheitsgerichteten SPS 
zu ertuchtigen. Zu den Erganzungen gehoren spezielle 
sicherheitsgerichtete E/A-Gerate (7), die intern zweikanalig 
aufgebaut sind und selbsttatig sowohl einen Vergleichstest 
zwischen ihren Kanalen als auch zusatzliche EigenubenAra- 
chungsfunktionen durchfuhren. Als weitere Erganzung sind 
sicherheitsgerichtete Programm-Module im Anwenderpro- 
gramm der Zentraleinheit (2) der SPS (1) vorhanden, die eine 
redundante Uberwachung der sicherheitsgerichteten E/A- 
Gerate (7) und eine Eigenuberwachung der Zentraleinheit (2) 
vornehmen. Die so gebildete sicherheitsgerichtete SPS ist 
geeignet zur Steuerung von Prozessen, die durch Abschaiten 
in einen sicheren Zustand gebracht werden konnen. 
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Beschreibung 

Die Erfindung bezieht sich auf eine speicherprogram- 
mierbare Steuerung, die als sicherheitsgerichtete Steue- 
rung ausgefuhrt isu Solche, auch als fehlersichere Steue- 5 
rungen bezeichnete Sicherheitssysteme finden im Rah- 
men von ProzeBanlagen Anwendung. 

Es sind mehrere unterschiedliche Konzepte bekannt, 
mit denen Anforderungen an sicherheitsgerichtete 
Steuerungen entsprochen werden kann. Neben sicher- 10 
heitstechnischen Anforderungen konnen mit solchen 
Konzepten auch Anforderungen an die Verfiigbarkeit 
der Steuerungen erfullt werden. 

In Energie und Automation 12 (1990). Heft 5/6, Seite 8 
bis 11 ist eine fehlersichere Steuerung beschrieben, die 15 
aus zwei vollstandigen Standard-Automatisierungssy- 
stemen auf gebaut ist, und die hauptsachiich software- 
maBige Erganzungen enthalt Der daraus bekannte 
prinzipielle Aufbau eines zweikanaligen Sicherheitssy- 
stems ist in Fig. 2 am Beispiel einer Anordnung mit 20 
einem binaren Ausgang gezeigt. Man erkennt, daB bei 
einem solchen Konzept eine zu steuernde Last L iiber 
mehrere Leitungen D mit Ein- und Ausgabegerate I, O 
der beiden Automatisierungssysteme A, B angeschlos- 
sen ist. 25 

Die Zentraleinheiten C der beiden Systeme A, B sind 
miteinander gekoppelt. 

Die vorgenannte Druckschrift enthalt auch ein Ver- 
zeichnis mit Literaturquellen, denen die hier relevanten 
Begriffe aus der Sicherheitstechnik sowie deren Defini- 30 
tion zu entnehmen sind. 

Ein anderes Konzept ist aus der Druckschrift der Fa. 
Pepper! + Fuchs "FSC-System, Fail Safe Control Sy- 
stem" Bestell-Nr. 16361 vom August 1991 bekannt Das 
dort beschriebene System FSC-101 ist ein einkanaliges 35 
System, das beziiglich verschiedener Verfiigbarkeitsstu- 
fen ausbaufahig ist. Das Grundsystem FSC-101 ist ein 
speziell als Sicherheitssystem entwickeltes Automatisie- 
rungssystem, dessen samtliche Baugruppen als sicher- 
heitsgerichtete Schaltkreise aufgebaut sind. Gegeniiber 40 
einer Standard-SPS sind auBerdem zusatzliche Module 
vorhanden, die allein im Hinblick auf sicherheitsgerich- 
tete Systemeigenschaften erforderlich sind. 

Den bekannten ein- oder zweikanaligen Sicherheits- 
systemen ist gemeinsam, daB sie einen hohen Gerate- 45 
aufwand erfordern und relativ langsam arbeiten. 

Die Erfindung bezieht sich auf Anwendungsfaile, in 
denen nur ein Teil der an das Steuerungssystem ange- 
schlossenen Prozesse fehlersicher zu steuern sind und 
wobei diese Prozesse durch Abschalten in einen siche- 50 
ren Zustand zu bringen sind. Solche Anwendungen sind 
z. B. gegeben bei Krananlagen, Feuerungsanlagen und 
Oberwachungsanlagen. Es soil also ein sicherheitsge- 
richtetes, speicherprogrammierbares Steuerungssystem 
geschaffen werden, das nicht fiir Prozesse geeignet zu 55 
sein braucht, bei denen der sichere Zustand nicht durch 
Abschalten erreicht werden kann und bei denen es auf 
eine erhohte Verfiigbarkeit ankommt. 

Diese Aufgabe wird gelost durch eine im Patentan- 
spruch 1 angegebene speicherprogrammierbare Steue- eo 
rung mit nur einer Zentraleinheit und mehreren uber 
wenigstens einen Buskoppler und wenigstens einen Ein- 
gabe/Ausgabe(E/A)-Bus anschlieBbaren E/A-Geraten. 
wobei alle diese Komponenten Bestandteile einer ein- 
kanaligen Standard-SPS sind, und wobei die SPS durch 65 
nachstehende Erganzungen zu einer sicherheitsgerich- 
teten SPS ertiichtigt ist: 
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a) an den E/A-Bus sind spezielle sicherheitsgerich- 
tete E/A-Gerate anschlieBbar, die intern zweikana- 
lig aufgebaut sind und selbsttatig einen Vergleich- 
stest zwischen ihren Kanalen sowie zusatzliche Ei- 
gentests durchfiihren, und 

b) die Zentraleinheit ist allein durch sicherheitsge- 
richtete Programm-Module erganzt zur Durchfuh- 
rung sicherheitsgerichteter Funktionen, die sich auf 
sicherheitsgerichtete Anwenderfunktionen und zu- 
mindest auf eine zur Eigeniiberwachung der sicher- 
heitsgerichteten E/A-Gerate redundante Oberwa- 
chung der sicherheitsgerichteten E/A-Gerate be- 
ziehen, sowie auf eine Selbstuberwachung der Zen- 
traleinheit 

Das mit der erfindungsgemaBen Steuerung vorge- 
stellte Konzept hat den Vorteil, daB auch eine schon 
vorhandene Standard-SPS nachtraglich zur sicherheits- 
gerichteten speicherprogrammierbaren Steuerung er- 
tuchtigt werden kann. Der nach auBen hin einkanalige 
Aufbau erfordert keine besondere AuBenverdrahtung. 
Durch die systemgemaBe dezentrale Intelligenz wird 
erreicht, daB nur fur den AnschluB der sicherhehsrele- 
vanten Prozesse ein gegenuber Standard-Steuerungen 
erhohter Aufwand notwendig ist Die Anforderungen 
nach DIN V VDE 801 Anforderungsklasse 4 werden 
erfullt 

Ausgestaltungen sind weiteren Patentanspruchen 
und der nachstehenden Beschreibung eines Ausfuh- 
rungsbeispiels zu entnehmen. 

Fig. 1 zeigt eine erfindungsgemaBe sicherheitsgerich- 
tete SPS mit einkanaliger Systemstruktur. Diese ist auf- 
gebaut aus einer Standard-SPS 1 mit einer Zentralein- 
heit 2, die spezielle gespeicherte Programm-Module mit 
sicherheitsgerichteten Funktionen enthalt und die mit 
Hilfe eines an eine Schnittstelle 8 anschlieBbaren Perso- 
nal Computers 3 eingebbar sind. Die Standard-SPS ent- 
halt wenigstens einen Buskoppler 4, an den ein E/A-Bus 
5 angeschlossen ist Der E/A-Bus ist im Ausfiihrungsbei- 
spiel eine Zweidraht-Kommunikationsverbindung. An 
den E/A-Bus 5 sind sowohl Standard- E/A-Gerate 6 als 
auch sicherheitsgerichtete E/A-Gerate 7 anschlieBbar. 
Die sicherheitsgerichteten E/A-Gerate 7 sind intern 
zweikanalig aufgebaut Sicherheitsgerichtete Funktio- 
nen sind redundant iiberwacht, nSmlich einmal durch 
SelbstuberwachungsmaBnahmen in den E/A-Geraten 7 
und durch Funktionsiiberwachung von der Zentrale 2 
aus. Der Informationsaustausch zwischen E/A-Geraten 
7 und der Zentrale 2 erfolgt unter Verwendung eines 
Sicherheitsprotokolls. 

In den intern zweikanalig aufgebauten, sicherheitsge- 
richteten E/A-Geraten 7 wird durch Vergleichstests 
zwischen den beiden Kanalen, Selbsttests und Plausibili- 
tatstest die erforderliche Sicherheit erreicht Bei fehlen- 
der Obereinstimmung wird eine Ausgabe eines Schalt- 
befehls gesperrt Dariiber hinaus wird eine Fehlerdia- 
^nose durch Oberwachung auf Drahtbruch, KurzschluB, 
Uberspannung, Bereichsuberschreitung und weitere 
Fehlerarten durchgefiihrt 

In einer ausgefiihrten sicherheitsgerichteten SPS 
wird innerhalb einer spezifizierten Fehlertoleranzzeit 
von 100 Millisekunden jeder gefahrliche Fehler erkannt 
und es wird eine Abschaltung in den sicheren Zustand 
durchgefiihrt. 

Jeder einzeln an sich ungefahrliche Fehler wird inner- 
halb einer Zweitfehlereintrittszeit von einer Stunde er- 
kannt Es wird dabei unterstellt, daB in dieser Zeit kein 
zweiter Fehler auftreten kann. der die Erkennung des 
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Fehlers verhindert 

Das Anwenderprogramm der Zentraieinheit enthalt 
ein Programm-ModuJ das ausschlieBiich sicherheitsge- 
richtete Funktionen einschlieBlich der Oberwachung 
der E/A-Gerate 7 bearbeitet. In diesem Programm-Mo- 
dul werden nur Sicherheits-Verknupfungselemente ver- 
wendet, die durch hochwertige MaBnahmen, z. B. durch 
redundante, diversitare Programmierung gesichert sind. 
AuBerdem werden Sicherheitsanforderungen an die 
Zentraieinheit durch eine besondere Behandlung sicher- 
heitsrelevanter Betriebssystemaufrufe und durch 
Selbsttests erfullt. 

Mit der Verwendung von Sicherheits-Verkniipfungs- 
eiementen wird erreicht, daB die Programmierung vom 
Anwender in ublicher Weise, also wie bei einer nicht 
sicherheitsgerichteten SPS, einfach ausgehend vom 
Funktionspian, vorgenommen werden kann. 

Da im Gesamtsystem sicherheits- und nicht sicher- 
heitsgerichtete Systemkomponenten eingesetzt sind, 
muB eine Ruckwirkungsfreiheit der nicht sicherheitsge- 
richteten Komponenten gegeben sein. 

Patentanspruche 



einzeln an sich ungefahrliche Fehlern innerhalb ei- 
ner spezifizierten Zweitfehlereintrittszeit erkennt 
und meldet. 



Hierzu 1 Seite(n) Zeichnungen 
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1. Speicherprogrammierbare Steuerung (SPS) mit 
nur einer Zentraieinheit (2) und mehreren iiber we- 
nigstens einen Buskoppler (4) und wenigstens einen 
Eingabe/Ausgabe(E/A)-Bus (5) anschlieSbaren 
E/A-Geraten (6), wobei alle diese Komponenten (2, 
4, 5, 6) Bestandteiie einer einkanaligen Standard- 
SPS (1) sind, dadurch gekennzeichnet, daB die SPS 
(1) durch nachstehende Erganzungen zu einer si- 
cherheitsgerichteten SPS ertuchtigt ist: 

a) an den E/A-Bus (5) sind spezielle sicher- 
heitsgerichtete E/A-Gerate (7) anschlieBbar, 
die intern zweikanalig aufgebaut sind und 
selbsttatig einen Vergleichstest zwischen ihren 
Kanalen sowie zusatzliche Eigentests durch- 
fuhren, und 

b) die Zentraieinheit (2) ist allein durch sicher- 
heitsgerichtete Programm- Module erganzt 
zur Durchfuhrung sicherheitsgerichteter 
Funktionen, die sich auf sicherheitsgerichtete 
Anwenderfunktionen und zumindest auf eine 
zur Eigenuberwachung der sicherheitsgerich- 
teten E/A-Gerate (7) redundante Oberwa- 
chung der sicherheitsgerichteten E/A-Gerate 
(7) beziehen, sowie auf eine Selbstiiberwa- 
chung der Zentraieinheit (2). 

2. Speicherprogrammierbare Steuerung nach An- 
spruch 1, dadurch gekennzeichnet, daB die Zentrai- 
einheit (2) eine SchnittstelJe (8) aufweist, an die ein 
Personal Computer (3) anschlieBbar ist, mit dessen 
Hiife, die im Anwenderprogramm der Zentraiein- 
heit (2) enthaltenen sicherheitsgerichtete Pro- 
gramm-Module ladbar sind, die durch redundante, 
diversitare Programmierung gesichert sind 

3. Speicherprogrammierbare Steuerung nach An- 
spruch 1 Oder 2, dadurch gekennzeichnet, daB die 
sicherheitsgerichteten E/A-Gerate (7) Mittel ent- 
halten zur Durchfuhrung von Plausibilitatstests. 

4. Speicherprogrammierbare Steuerung nach ei- 
nem der vorstehenden Anspruche, dadurch ge- 
kennzeichnet, daB die Zentraieinheit (2) mit Hiife 
der gespeicherten sicherheitsgerichteten Pro- 
gramm-Module neben gefahrlichen Fehlern, die in- 
nerhalb einer spezifizierten Fehlertoleranzzeit zur 
Abschaitung in den sicheren Zustand fuhren, auch 
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